【図解】SSL/TLSとは何か?その違いや仕組み・導入方法についてわかりやすく解説します
インターネット上で個人情報を守るためには、SSL/TLSを導入することが必要不可欠です。今回は、そのSSL/TLSとは何か?SSL通信とTLS通信との違い、仕組みや導入方法(無料含む)について初心者に向けてわかりやすく解説します。
2016.12.21 執筆 2021.01.27 更新
SSL/TLSとは?暗号通信の仕組み
SSLとはSecure Sockets Layerの略で、送受信しているデータを暗号化する通信手順です。実際にSSL化されているかを確認する最も簡単な方法は、以下の2点です。
- ブラウザに入力するWebサイトのURLアドレスが、httpsから始まっている
- ブラウザのURLアドレス入力欄の脇に、鍵のマークが出現している
SSLとともに、TLSという用語があることに気づいている方も多いのではないでしょうか。SSL/TLSと併記されているので、何らかの関連があるのでしょうか。
TSLはTransport Layer Securityの略です。
結論から言えば、現在サイトなどで使われるSSLは、TLSのことを指していることが多いため、2者に違いはないといっていいでしょう。
具体的には、ウエブサイトが広まった1990年代当初通信を守るためにSSLが開発されましたが、その後SSLに脆弱性が発見され、それに対処するために新たに根本から設計されたのがTLSです。現在「SSL」というと実は「TLS」のことである場合がほとんどですが、TLSに置き換わった今でも馴染み深いSSLという言葉が使用されているのです。(SSL/TLSと表記しているところもありますが、大抵は/TLSの部分は省略されています。)
つまり厳密にいうと、SSLとTLSは上記のように別物ではありますが、暗号化の手段を考える場合には「SSL」は「TLS」のこととして解釈して良いでしょう。
ちなみにTLS通信の仕組みも大まかにはSSLと同様で、通信データの改ざんの検出や、通信相手の正誤の判別も可能です。
以下、SSL・TLSをまとめてSSLと表記します。
SSL通信の流れと仕組み
SSL通信が成立するまでには、以下のように2段階に分かれます。(受信者=サーバー、送信者=ブラウザと考えると分かりやすいです。)
第1段階 (事前準備)
1) 受信者(サーバー)は送信者(ブラウザ)に「公開鍵」と「SSLサーバー証明書」を送付
2) 送信者(ブラウザ)は「公開鍵」を使って「共通鍵」を暗号化
3) 送信者(ブラウザ)は受信者(サーバー)に暗号化された「共通鍵」を送付
4) 受信者(サーバー)は「共通鍵」を「秘密鍵」で復号
※ここで言う復号とは、暗号を元に戻す仕組みのことです。
第2段階 (本番)
5) 受信者(サーバー)と送信者(ブラウザ)双方 上記でできた「共通鍵」を使って、本番データを暗号化と復号
SSLサーバー証明書とは
さて、上記の比較表にある公開鍵が、そもそも正しい鍵かどうかを証明する手段として、この「SSLサーバー証明書」が必要になってきます。この仕組みにより、なりすましの防止ができます。
なお、SSLサーバー証明書を発行する機関のことを認証局(CA= Certification Authority)と呼んでいます。専用サービスの申込みでは、費用と時間がかかります。もちろんこの場合には、利用者は安全にWebサイトを利用することができます。ブラウザ上でhttpsと入力後に、安全性にかかわる警告メッセージは、当然表示されません。
SSLの3つの役割
インターネット上では、誰でも自由にどのようなデータでもやり取りすることができます。ところが、この自由さを逆手にとって悪用する輩がいるために、わざわざ防御する必要が出てきました。
データの盗用や悪用による損害を防ぐ最も有効な手段の一つとして、SSLによる盗聴・改ざん・なりすましの防止があります。では、それぞれの防止策の内容と目的はどのようなものでしょうか。
(1)データの盗聴を防ぐ
例えば、オンラインショッピング中に行き交っているデータを盗み見て、個人のクレジットカード番号や付随する重要情報を不正に入手されることを防ぐことです。
もしデータをSSL暗号化していないとクレジットカード情報が悪用される危険性が高まり、場合によっては相当な金銭的損害が発生します。
企業の場合でも同様です。あってはならないことですが、社外秘の機密情報データが筒抜けになってしまい、企業が膨大な損害を被ることが想定されます。
(2)データの改ざんを防ぐ
先のオンラインショッピングの例で言えば、行き交っているデータに侵入されて、注文数を書き換えられてしまうことも考えられます。そうなると顧客ばかりでなく、店舗側にも大きな損害を発生させることになります。
このようにデータをそのままの完全な状態で伝送するためには、SSLでの暗号化が必要です。
(3)なりすましを防ぐ
再びオンラインショッピングの例では、店舗の運営者と偽って、顧客から不正に金銭を得たり、顧客の個人情報を入手したりする危険性があります。
これを防ぐ目的として、Webサイトの運営企業が本当に存在し、利用しているドメイン(URLアドレス)の正しい所有者であることを証明する、というもう一つの任務がSSLにはあります。
次章でも解説しますがこれらのSSL証明には種類があり、信頼性の高い「企業認証型」、より認証が厳格で信頼性の高い「EVタイプ」を導入すると効果的です。
SSLの導入について
ここまでは、SSLの仕組みについて解説してきました。ここからは、いよいよ実際の導入や選び方などを解説していきます。
共有SSLと独自SSLの選び方
以下の比較表の通り、それぞれにメリットとデメリットがあるため、用途に応じて選択するのが望ましいのではないでしょうか。
| 共用SSL | 独自SSL | |
|---|---|---|
| 概要 | レンタルサーバー会社がその会社のドメイン用に取得したSSLを、複数の利用者が共有して利用する | 利用者独自で申請し、取得する |
| メリット | ・手続きが非常に簡単 ・SSLの更新手続き不要 ・基本的に無料 |
・安全性をしっかりアピールできる ・独自ドメインで利用できる |
| デメリット | ・安全性をアピールしづらい ・独自ドメインでは利用できない |
・手続きと設定が煩雑で時間がかかる ・相当の費用がかかる ・更新手続きが必要(:1年毎など) |
| 費用 | レンタルサーバー会社のサービス利用者は基本的に無料 | 年間で数万円から数十万円(SSLのブランドによる) |
| 用途 | 個人情報や機密情報を扱わない、個人サイト | ・重要な個人情報を扱うECサイト ・信頼性が求められる法人サイト |
SSLサーバー証明書の種類
次に、審査内容の程度によって取得可能なSSL証明書について、比較検討してみましょう。
| ドメイン認証型 | 企業認証型 | EVタイプ | |
|---|---|---|---|
| 審査内容 | 登録ドメインの確認のみ | 企業の実在性を認証 | ・企業の実在性を厳格に認証 ・なりすまし対策可 |
| 信頼性 | 中 | 高 | 最高 |
| 実在性確認※ | 無 | 有 | 有 |
| 手続き | 簡単 | 煩雑 | より煩雑 |
| デメリット | 安全性がやや弱い | 費用と時間がかかる | 費用と時間が大いにかかる |
| 費用 | 低 | 中 | 高 |
| 対象 | 主に個人 | 企業 | 企業 |
| その他 | ブラウザのアドレスバーに利用者の名称を表示する |
※(注)「実在性確認」とは
SSL発行会社が、組織の存在を帝国データバンクなどの社会的に信頼された第三者機関が保有するデータベース記載の代表電話に電話して、申請者の実在や申し込みの意思確認を行います。
これにより、申請内容が正しいことや、申請組織や担当者が実際に存在していることなどを確認されます。
SSLの低価格化や無料化の動き
以前のSSL販売市場は、ほぼ寡占状態でした。発行会社は限られ、高品質のサービスを比較的高額で提供されていました。ところが、StartSSLが無料提供を始めた2014年頃から、サービス内容を絞り、より低価格のサービスが現れてきました。
そしてGoogleは2015年12月に、ウェブマスター向け公式ブログ上で、SSL化されたWebサイトのページを検索結果で優遇すると発表しました。より安全なインターネット利用を促進するGoogleのこの動きは、むしろ自然な流れと言えます。
それまでは、個人情報などの大事な情報を扱うページのみにSSLをかけていれば良いと考えられていましたが、この宣言により、Webサイトの管理者は全てのページをSSL化する必要が出てきました。この動きに拍車をかけたのが、2016年のSSL無料化(Let’s Encrypt)の動きです。
それでは従来型の企業認証型/EVタイプと新興型のドメイン認証型を、メリット・デメリットを整理して比較してみましょう。
| 企業認証型 / EVタイプ | ドメイン認証型 | |
|---|---|---|
| 信頼性 | 非常に高い | 比較的低い |
| 主なサービス名 | ・Symantec (旧ベリサイン) ・GeoTrust ・セコムパスポート |
【低価格】 ・RapidSSL 【無料】 ・Let’s Encrypt ・StartCom |
| 費用 | 年間数万円から数十万円 | 年間数千円または無料 |
| 主な対象 | 企業のメインのWebサイト | ・企業のランディングページ(宣伝用) ・個人のWebサイト |
無料の「Let’s Encrypt」の使い方や設定方法はこちらで解説しています。
【無料SSL入門】「Let’s Encrypt」とは?設定で挫折しない!使い方解説
また、「Let’s Encrypt」についてはこちら
無料SSLサーバー証明書| “Let’s Encrypt“とは
おすすめのSSLサービス
SSLの概要を把握して、いよいよWebサーバーの設定に移ります。設置作業に不安がある方は無理に自力で行わず、代行サービスの利用をおすすめします。その方が早くて安全で、結果的に安上がりです。
カゴヤ・ジャパンの場合には、各種ブランドのSSLの申込み内容を集約して掲載しています。
自分で設定するのは不安という方に向けて11,000円で設定代行サービスもご用意しております。
SSLサーバー証明書|カゴヤ・ジャパン
また、他社では発行に1、2週間かかるEV SSLが数日で発行できる SureServer EVを利用できますので、
SSLサーバー証明書|SureServer EV
まとめ
SSLの基本的な機能や仕組みをご理解いただけましたでしょうか。SSLの最近の流れを把握してから、組織やWebサイトに合うSSLプランを導入されることをおすすめします。
関連記事
- この記事を書いた人ライタープロフィール
- 西山一郎 企業でWebmasterとして10年間の経験を活かし、 ライター兼Webデザイナーとして活動中。 得意分野はレンタルサーバー、WordPress、Photoshopなど。 情報セキュリティの認証取得経験があり、 利便性とリスクのバランスを考えた仕事を心がけている。 URL https://note.com/nishiyama1
